Ich komme aus dem Bereich und ich interessiere mich für
genuscreen
Schutz für Datentransfers und Netze
genugate
Für höchste Netzwerksicherheit an kritischen Schnittstellen durch umfassende Datenanalyse
genuwall
Starker Schutz für Produktionsnetze
genucrypt
Stark verschlüsselte Datentransfers
genubox
Sicherer Wartungszugriff in sensible Netze
GS.Gate
Hochsichere Digitalisierung mit Cloud Edge Gateway
cyber-diode
Hochsicheres Industrial Monitoring von Maschinen, Anlagen und KRITIS
vs-diode
Performante Einbahn-Datentransfers in GEHEIM-eingestufte Netze
genucenter
IT-Sicherheit im Griff mit genucenter
ECOS SecureBootStick SX
VS-NfD-konformes Arbeiten im Home Office
  1. Home
  2. Knowledge Base
  3. Nachgefragt: Was bringt der IT-Grundschutz des BSI?

Interviews

Nachgefragt: Was bringt der IT-Grundschutz des BSI?

Der IT-Grundschutz des BSI ist ein bewährtes Instrument, um das Niveau der Informationssicherheit in Behörden und Unternehmen zu erhöhen. Ziel ist es, dass Verantwortliche für Informationssicherheit in Organisationen jeder Größenordnung das Sicherheitsniveau realistisch einschätzen und die notwendigen Maßnahmen zur Absicherung umsetzen können. Darüber sprechen wir mit Thomas Bonhoeffer, der als zertifizierter Grundschutz-Berater bei genua tätig ist.

IT-Grundschutzberatung - genua GmbH
IT-Grundschutzberatung

Welche Qualifikation muss man mitbringen, um beim BSI als zertifizierter Grundschutz-Berater geführt zu werden?

Thomas Bonhoeffer: Zuallererst einmal Erfahrung. Neben einer langjährigen beruflichen Tätigkeit im Bereich Informationssicherheit ist umfangreiche Erfahrung in Beratungsprojekten mit dem Ziel der vollständigen Einführung eines Informationssicherheitssystems (ISMS) nach IT-Grundschutz Voraussetzung. Dann natürlich Fachkompetenz, die durch eine Prüfung beim BSI nachgewiesen wird. Als IT-Grundschutzberater führt man Unternehmen und Behörden zum Aufbau eines ISMS bis hin zu einer etwaigen Unternehmenszertifizierung. Daher überwacht das BSI das Kompetenzlevel auch fortlaufend.

Zu dem anspruchsvollen Thema IT-Sicherheit gibt es am Markt zahlreiche Beratungsangebote. Wie ist die Beratung nach IT-Grundschutz des BSI grundsätzlich einzuordnen?

Thomas Bonhoeffer: Im Gegensatz zu vielen mehr oder weniger "selbstgestrickten" Sicherheitsberatungen stellt der moderne IT-Grundschutz eine anerkannte, methodische und umfassende Vorgehensweise dar, um Informationssicherheit in Unternehmen zu etablieren. Dabei folgt er dem international anerkannten Standard ISO 27000, weshalb ja auch eine Zertifizierung nach ISO 27000 auf IT-Grundschutz-Basis möglich ist. Eine Beratung nach IT-Grundschutz zeichnet sich vor allem durch ihren ganzheitlichen Ansatz aus. Sie fokussiert sich nicht auf die Technik und versucht auch nicht, nur eine "Momentaufnahme" des Sicherheitsniveaus zu erstellen und anschließend Lücken zu stopfen. Die Beratung setzt vielmehr einen Prozess in Gang, der ein gewünschtes Sicherheitsniveau nachhaltig gewährleistet.

Für welche Organisationen ist eine Beratung nach IT-Grundschutz des BSI besonders empfehlenswert?

Thomas Bonhoeffer: Dem Grundschutz wurde in der Vergangenheit oft nachgesagt, er sei bürokratisch, umständlich und sowieso nur für Behörden interessant. Das mag in gewissen Bereichen zugetroffen haben. Das hat sich aber mit der Modernisierung geändert. Der Grundschutz ist sehr viel flexibler geworden. Damit ist er vom Handwerksbetrieb bis zum Internetprovider passgenau anwendbar. Ich würde sagen, ein methodisches Herangehen an das Thema Informationssicherheit ist für jede Organisation, die mehr als drei Mitarbeiter und vier IT-Systeme umfasst, sinnvoll. Das muss nicht der IT-Grundschutz sein – aber er ist eine gute und anerkannte Möglichkeit. Und der neue Grundschutz bietet gerade für kleine und mittlere Unternehmen mit der sogenannten "Basisabsicherung" eine einfache Einstiegsvariante, um mit relativ geringem Aufwand das eigene Sicherheitsniveau zu erhöhen.

Daneben gibt es natürlich Regularien, die den IT-Grundschutz zwingend und vollständig vorschreiben. Bundesbehörden müssen den Grundschutz in der Regel umsetzen, und die Betreiber kritischer Infrastrukturen müssen "die Einhaltung von IT-Sicherheit nach dem Stand der Technik" regelmäßig gegenüber dem BSI nachweisen.

Wie ist die grundsätzliche Vorgehensweise der BSI-Methodik?

Thomas Bonhoeffer: Die grundsätzliche Vorgehensweise ist im BSI Standard 200-1 festgelegt und füllt 180 Seiten. Ich muss daher schon ein klein wenig ausholen, selbst wenn ich das Konzept auch nur grob skizziere und mich auf die Erstellung des Sicherheitskonzepts beschränke.

Im Zentrum der Betrachtung steht das gewünschte Sicherheitsniveau der Geschäftsprozesse der Organisation. In einer sogenannten Strukturanalyse wird die technische, infrastrukturelle und teilweise organisatorische Struktur der Organisation erfasst und im Rahmen eines "vereinfachten Netzplans" als eine Art technisches Modell der Organisation dargestellt.

Ausgehend von den Geschäftsprozessen kann nun für jeden dieser Bestandteile der Schutzbedarf ermittelt werden. Im Rahmen der sogenannten Modellierung werden anhand des vereinfachten Netzplans die Bausteine aus dem IT-Grundschutzkompendium bestimmt, die für diese Organisation zutreffend sind. Diese Bausteine enthalten Anforderungen, und im sogenannten Grundschutzcheck (GSC) wird geprüft, ob es zu den Anforderungen bereits umgesetzte Maßnahmen gibt oder ob hier noch Handlungsbedarf besteht.

Für Bestandteile – der Grundschutz spricht hier von "Zielobjekten", für die ein hoher oder gar sehr hoher Schutzbedarf ermittelt wurde, reichen diese Anforderungen unter Umständen nicht aus, daher muss hier zusätzlich eine Risikoanalyse durchgeführt werden.

Wie profitieren Organisationen von diesem Vorgehen?

Thomas Bonhoeffer: Nach der erstmaligen Erstellung eines Sicherheitskonzepts liegt ein Modell der Organisation vor, das die Kritikalität der Systeme und unterstützenden Prozesse für die Geschäftstätigkeit darstellt und die getroffenen Maßnahmen zur Absicherung dokumentiert. Damit können die Auswirkungen struktureller Veränderungen auf das Sicherheitsniveau schnell erkannt und entsprechend behandelt werden. Und im Gegensatz zu anderen Verfahren ist die relativ aufwändige Risikoanalyse nur dort durchzuführen, wo ein hoher Schutzbedarf besteht, für den Rest reicht eben der "Grundschutz".

Wie können sich Kunden, die sich für eine Beratung nach IT-Grundschutz interessieren, am besten informieren?

Thomas Bonhoeffer: Alle zertifizierten Grundschutzberater werden mit ihrer Firmenadresse auf den Webseiten des BSI gelistet. Als ersten Schritt empfehle ich, mit der jeweiligen Firma ein telefonisches Beratungsgespräch zu vereinbaren, bei dem man dann schon eine Reihe von Fragen klären kann. Bevor man sich für eine Beratung entscheidet, sollte man auf jeden Fall im Rahmen eines Workshops zusammen mit dem IT-Grundschutzberater die verschiedene Möglichkeiten der Beratung, die Rahmenbedingungen und die Zielvorstellungen klären – der neue Grundschutz ist flexibel und die Möglichkeiten der Beratung sind es ebenso.

Weitere Informationen:

Bildquelle: © Andrey Popov – stock.adobe.com

Zurück zur Übersicht

Artikel teilen